Leo Yeh's Blog

SAS Viya (8)

教學目標

初步了解在 SAS Viya 中針對資訊安全三個方面的應用。

重點概念

首先在 SAS Viya 中針對資訊安全主要有三個方面的應用,分別為:

  1. 驗證 (Authentication)
  2. 授權 (Authorization)
  3. 加密 (Encryption)

接著驗證主要識別使用者身份或服務帳號方面的安全,我們主要會透過下述三種模式進行驗證,分別為:

  1. 主機驗證 (Host Authentication)
  2. 直接驗證 (Direct LDAP Authentication)
  3. 雙重驗證 (Dual Authentication)

其中所謂主機驗證是指透過主機進行任何驗證機制的處理請求,當我們登入至 SAS Studio 時將會關聯 Object Spawner 要求主機驗證憑證,當驗證成功將會啟動工作站伺服器,此外當我們從 SAS Studio 中使用 CAS 服務時,則必須在 CAS 伺服器主機進行驗證。所謂直接驗證是指過 LDAP 提供者進行直接的驗證,此外針對單一登入 (Single Sign On,SSO) 也支援 IWA、OAuth 和 SAML 等機制,請注意 IWA、OAuth 和 SAML 僅能修改登入服務 SAS Logon Manager 的識別驗證機制,無法修改識別服務 Identities Service 的使用者和群組資訊,當我們登入 SAS Visual Analytics 或 SAS Environment Manager 時,則必須使用此模式進行驗證。所謂雙重驗證主要是同時使用主機驗證和直接驗證,若是 servicesBaseUrl 選項被設定時,則 CAS 需要進行雙重驗證,其中 LDAP 提供者又可分為相同提供者 (Shared Provider) 和不同提供者 (Different Provider),當我們登入 CAS Server Monitor 和從 SAS Studio 存取 CAS 服務時皆需要使用雙重驗證,此外當我們透過 SAS Visual Analytics 或 SAS Environment Manager 存取 CAS 服務時必須確認 OAuth Token 是有效才能夠正常操作。

再來授權主要是決定哪一個資源被可哪一個使用者使用,SAS Viya 授權層級主要由兩個授權系統所組成,分別為:

  1. CAS 授權系統 (CAS authorization system)
  2. 一般授權系統 (General authorization system)

其中任何系統皆使用不同的模型保護不同的資源類別,請注意初始和預設存取是被限制的,主要有五個重點,分別為:

  1. 任何未被授予的存取是被禁止的。
  2. 預先定義的物件會被預先定義的規則或存取控制所保護。
  3. 只有特定群組或角色的成員才能夠存取特權管理的功能。
  4. 使用者存取物件的管理是會被繼承、同時也能設定規則和直接設定。
  5. 一般使用者是有限的存取,僅可以存取個人資料庫和共享的資料夾。

最後加密主要是將資料轉換為無法理解的形式來進行傳輸或儲存的安全應用,分別為:

  1. 資料傳輸 (Data in Motion)
  2. 資料儲存 (Data at Rest)

其中所謂資料傳輸主要是提供 TLS 安全性,並且遵循最高的資安標準,在安裝時 SAS Viya 提供 HTTPS 安全存取的方式。所謂資料儲存主要是針對 PATH、HDFS 和 CASLIB 進行加密設定。

總結本篇主要是簡單介紹 SAS Viya 中針對資訊安全三個方面的應用,分別為驗證、授權和加密,其實也就是企業中經常提到的資訊安全之應用,分別為:

  1. 單一登入應用,也就是驗證應用。
  2. 權限控管應用,也就是授權應用。
  3. 安全連線應用,也就是加密應用。

相關資源

⬅️ Go back